Skip to main content
Back to blog

Canllaw SEO Cam 7: Diogelwch — Y Gwybodaeth Sylfaenol y Mae Google yn Ei Ddisgwyl yn 2026

·13 min read·by LANGR SEO

Canllaw SEO Cam 7: Diogelwch

Mae hwn yn Gam 7 o'r Canllaw SEO 13 Cam. Nid yw diogelwch yn golygu diogelu defnyddwyr yn unig — mae'n effeithio'n uniongyrchol ar eich graddfeydd chwilio. Mae Google wedi defnyddio HTTPS fel signal graddio ers 2014, ac mae'r disgwyliadau wedi cynyddu yn unig.

Mae'r rhan fwyaf o berchnogion gwefannau yn ystyried diogelwch fel peth dwyfol: "Mae gennym SSL, felly rydym yn ddiogel." Mewn gwirionedd, mae Google yn gwerthuso degau o signals diogelwch. Mae gwefannau gyda phenawdau diogelwch priodol, tystysgrifau dilys, ac heb gynnwys cymysg yn graddio'n uwch na gwefannau sydd gyda dim ond tystysgrif SSL sylfaenol — os yw popeth arall yn gyfartal.

Y newyddion da: mae'r rhan fwyaf o'r trwsiadau diogelwch yn sefydliadau unwaith. Eu gosod unwaith, ac maen nhw'n diogelu eich graddfeydd yn barhaol.

Cyfundrefn SSL

Mae SSL (technically TLS) yn amgryptio'r cysylltiad rhwng eich gweinydd a'ch ymwelwyr. Ers 2014, mae Google wedi cadarnhau'n benodol HTTPS fel signal graddio. Yn 2026, nid yw methu â chael HTTPS yn fater graddio yn unig — mae Chrome yn nodi gwefannau HTTP fel "Ddim yn Ddiogel" yn y bar cyfeiriad, gan ddinistrio ymddiriedaeth defnyddwyr.

Gofynion ar gyfer SSL priodol:

| Gofynion | Pam | Sut i Wirio | |----------|-----|--------------| | Tystysgrif dilys | Aeddfed = rhybudd porwr = defnyddwyr yn cael eu gudo | Gwirio dyddiad dod i ben | | Cadwyn lawn | Mae cadwyni anhygoel yn methu ar rai dyfeisiau | Prawf SSL Labs | | TLS 1.2+ | Mae fersiynau hŷn yn cael bregusrwydd hysbys | Prawf SSL Labs | | Dim SHA-1 | Wedi'i ddadansoddi, mae porwyr yn ei wrthod | Manylion y tystysgrif | | Cwmpas SAN | Mae'n rhaid i www a non-www fod yn gorchuddio | Manylion y tystysgrif | | Awtorys | Atal trychinebau dod i ben | Gosodiad Let's Encrypt / darparwr |

Sicrhau SSL:

100% = Tystysgrif dilys + Cadwyn lawn + TLS 1.3 + Crypt acan + Awtorys
  0% = Tystysgrif wedi dod i ben neu yn absennol

Camgymeriadau cyffredin SSL:

  1. Mae'r tystysgrif yn dod i ben heb rhybudd — Gosodwch fonitro (Cam 6) o leiaf 30 diwrnod cyn dod i ben
  2. Cadwyn tystysgrif anhygoel — Mae'n rhaid i'r gweinydd anfon tystysgrifau rhyng-gymdeithasol, nid dim ond y dail
  3. Cynnwys cymysg — Mae tudalen HTTPS yn llwytho adnoddau HTTP (lluniadau, sgriptiau, steiliau)
  4. Troelli ailgyfeirio — Mae cylchoedd HTTP → HTTPS → HTTP yn cael eu hatal gan CDN / proxy sydd wedi'i seilio'n anghywir
  5. Anrhwydo non-www yn erbyn www — Mae'r tystysgrif yn gorchuddio un ond nid y llall

Cynnydd cyflym: Rhedwch eich parth drwy SSL Labs (ssllabs.com/ssltest). Mae unrhyw beth islaw radd "A" yn cynnwys materion y gellir cymryd camau. Mae'r rhan fwyaf o'r darparwyr gwasanaeth yn trwsio hyn gyda chliciad un.

Penawdau Diogelwch

Mae penawdau diogelwch yn benawdau ymateb HTTP sy'n rhoi gorchmynion i borwyr sut i ymddwyn wrth lwytho eich gwefan. Maen nhw'n atal categori cyfan o ymosod — a mae crawlers Google yn gwirio amdanyn nhw.

Y penawdau diogelwch hanfodol:

Polisi Diogelwch Cynnwys (CSP)

Mae CSP yn benawd diogelwch pwerus. Mae'n ymwneud â dweud i borwyr yn fanwl pa adnoddau (sgriptiau, steiliau, lluniau, ffontiau) sydd yn cael eu caniatáu i'w llwytho ar eich tudalennau.

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.example.com; frame-ancestors 'none';

Beth mae CSP yn ei atal:

  • Ymosodiadau sgriptio oedolion (XSS)
  • Ymosodiadau mewnosod data
  • Clickjacking (drwy frame-ancestors)
  • Gweithredu sgript heb awdurdod (cryptominers, injectors hysbysebu)

Strategaeth gweithredu CSP:

  1. Dechreuwch gyda Content-Security-Policy-Report-Only (cofrestrwch dorri rheolau heb rwystro)
  2. Monitro adroddiadau am 1-2 wythnos
  3. Rhagweld ffynonellau dilys
  4. Troi i gyfnod gorfodi
  5. Ychwanegu report-uri neu report-to ar gyfer cofrestru torri parhaus

X-Frame-Options

Mae'n atal eich gwefan rhag cael ei hymgorffori mewn iframes ar ehanguoedd eraill (diogelwch clickjacking).

X-Frame-Options: DENY

Neu os oes angen caniatáu fframio un-tardd:

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

Mae'n atal porwyr rhag chwyddo math MIME (dehongli ffeiliau fel mathau gwahanol i'r rhai a ddatganwyd).

X-Content-Type-Options: nosniff

Mae'r un-liner hwn yn atal ymosodiadau lle mae ffeil .jpg yn cynnwys JavaScript cudd y gallai'r porwr ei weithredu.

Rhaglen Gofynnwr

Mae'n rheoli faint o wybodaeth gofynwr sy'n cael ei chyflwyno pan mae defnyddwyr yn clicio dolenni o'ch gwefan.

Referrer-Policy: strict-origin-when-cross-origin

Mae hyn yn cyflwyno'r URL llawn ar gyfer ceisiadau un-tardd ond dim ond yr amod (parth) ar gyfer ceisiadau croes-ffynhonnell. Mae'n cyfuno anghenion dadansoddeg gyda phreifatrwydd.

Polisi Caniatâd

Mae'n rheoli pa nodweddion porwr (camerâu, meicroffon, lleoliad, ac ati) sydd yn cael eu defnyddio ar eich gwefan.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Mae atal nodweddion nad ydych yn eu defnyddio yn atal sgriptiau trydydd parti rhag camddefnyddio nhw.

Enghraifft gweithredu penawd (Next.js):

// next.config.js
module.exports = {
  async headers() {
    return [{
      source: '/(.*)',
      headers: [
        { key: 'X-Content-Type-Options', value: 'nosniff' },
        { key: 'X-Frame-Options', value: 'SAMEORIGIN' },
        { key: 'Referrer-Policy', value: 'strict-origin-when-cross-origin' },
        { key: 'Permissions-Policy', value: 'camera=(), microphone=(), geolocation=()' },
        { key: 'Strict-Transport-Security', value: 'max-age=31536000; includeSubDomains; preload' },
      ]
    }]
  }
}

Gweithredu penawd (Apache .htaccess):

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Gweithredu penawd (Nginx):

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Cynnydd cyflym: Ychwanegwch yr 5 penawd uchod i'ch gweithredu gweinydd. Mae hyn yn cymryd 5 munud ac yn gwella eich sefyllfa diogelwch yn syth gydag unrhyw offer sganio.

HSTS Preload

Mae HTTP Strict Transport Security (HSTS) yn dweud wrth borwyr i ddefnyddio HTTPS bob amser ar gyfer eich parth — hyd yn oed cyn y cais cyntaf. Heb HSTS, gallai ymweliad cyntaf â'ch gwefan ddefnyddio HTTP o hyd (sy'n agored i dorri) cyn i'r ailymholiad i HTTPS ddigwydd.

Penawd HSTS:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Y tri ddibyniaeth:

| Dibyniaeth | Ystyr | |------------|---------| | max-age=31536000 | Cofrestru hyn am 1 flwyddyn (mewn eiliadau) | | includeSubDomains | Cymhwyso i bob is-dardd hefyd | | preload | Gohebu am gynnwys ar restriau preload porwr |

Rhestr preload HSTS:

Y diogelwch HSTS ultimeit. Mae porwyr yn cyflwyno rhestr o barthau sydd yn gorfod defnyddio HTTPS bob amser. Mae cyflwyno eich parth i hstspreload.org yn golygu:

  • Mae ymwelwyr cyntaf yn cael HTTPS ar unwaith (dim ailymholiad HTTP → HTTPS)
  • Mae'n amhosibl i ymosodwyr leihau cysylltiadau
  • Parhaol (mae'n anodd ei ddileu unwaith y bydd wedi'i gyflwyno)

Gofynion ar gyfer HSTS preload:

  1. Tystysgrif HTTPS dilys
  2. Ailgyfeirio pob HTTP i HTTPS (gan gynnwys is-darddau)
  3. Penawd HSTS gyda max-age >= 31536000
  4. Mae penawd HSTS yn cynnwys includeSubDomains
  5. Mae penawd HSTS yn cynnwys preload
  6. Mae'n rhaid i bob is-dardd gefnogi HTTPS

Rhybudd: Dim ond cyflwynwch i pre-load os yw POB eich is-dardd wedi'u cefnogi gan HTTPS. Mae'r ddibyniaeth includeSubDomains yn golygu y bydd unrhyw is-dardd yn unig HTTP yn dod yn amhoblogaidd.

Cynnydd cyflym: Os oes gennych HTTPS ar bob is-dardd, ychwanegwch y penawd HSTS llawn a chyflwynwch i hstspreload.org. Mae'r broses yn cymryd pymtheg wythnos, ond mae'r diogelwch yn parhau.

Sganio Bregusrwydd

Mae sganio bregusrwydd awtomataidd yn adnabod materion diogelwch hysbys yn eich stac cyn i ymosodwyr wneud camddefnyddio nhw.

Beth mae sganio bregusrwydd yn wirio:

  • Meddalwedd hen: WordPress, plugins, llyfrgelloedd JavaScript sydd â CVEs hysbys
  • Ffeiliau agored: .env, .git, wp-config.php, dumpiau cronfa ddata
  • Tollau gwybodaeth: Penawdau fersiwn gweinydd, modd dadansoddi, traciau stac
  • Credydau diffiniedig: Tudalennau gweinydd heb awdurdod, cyfrineiriau diffiniedig
  • Portiau gwasanaethau agored: Gwasanaethau diangen ar gael i'r rhyngrwyd
  • Pwyntiau mewnosod: Ffurflenni heb warchodaeth CSRF, mewnbynnau heb eu dilysu

Bregusrwydd cyffredin yn ôl llwyfan:

| Llwyfan | Bregusrwydd Uchel | Trwsio | |---------|------------------|--------| | WordPress | Plugins hen | Diweddariad awtomatig + WAF | | Shopify | Caniatadau apiau trydydd parti | Archwiliad rhestr apiau bob chwarter | | Next.js | Llwyfannau API agored | Rheng meddalwedd + cyfyngu cyfnod | | Gwefannau statig | Anhygoel CDN | Adolygu rheolau cache | | Custom | Mewnosod SQL | Cwcis paramedr |

Pryd i sganio:

  • Bob dydd: Sganio arwyneb awtomatig (SSL, penawdau, ffeiliau agored)
  • Bob wythnos: Gwirio bregusrwydd dibyniadau (npm audit, sganwyr plugin WordPress)
  • Bob mis: Sganio dwfn gyda phrofi cyfreithlon
  • Ar ôl pob gosod: Gwirio adfywiad

Cynnydd cyflym: Rhedwch npm audit (Node.js) neu wirio rhestr plugin eich CMS am gydrannau hen. Trwsio materion critigol / uchel ar unwaith.

Cynnwys Cymysg

Mae cynnwys cymysg yn digwydd pan fydd tudalen HTTPS yn llwytho adnoddau (lluniadau, sgriptiau, steiliau, iframes) dros HTTP. Mae hyn yn torri amgryptio yn rhannol ac yn achosi rhybuddion borwr.

Mathau o gynnwys cymysg:

| Math | Difrifoldeb | Enghraifft | Ymddygiad y Borwr | |------|-------------|------------|-------------------| | actif | Uchel | Sgript HTTP, iframe, CSS | Blociedig fel arfer | | pasif | Canolig | Lluniau HTTP, fideos, sain | Llwythwyd gyda rhybudd |

Mae cynnwys cymysg actif yn cael ei blocio gan borwyr modern — sy'n golygu na fydd eich sgriptiau a steiliau yn llwytho. Mae cynnwys cymysg pasif yn llwytho ond yn arddangos rhybuddion diogelwch.

Dod o hyd i gynnwys cymysg:

  1. Agorwch Chrome DevTools → Console
  2. Edrychwch am rybuddion "Cynnwys Cymysg"
  3. Fel arall, sgan gyda chrawler (Screaming Frog, LANGR)

Ffynonellau cyffredin o gynnwys cymysg:

  • URLau http:// wedi'u harddeddu wrth gynnwys (blogiau, disgrifiadau cynnyrch)
  • Wjitiau trydydd parti sy'n llwytho adnoddau HTTP
  • Cynnwys wedi'i mewnforio (mewnforion hen YouTube, wjitiau cyfryngau cymdeithasol)
  • CSS background-image gyda URLau HTTP
  • Ffontiau a lwythwyd dros HTTP

Gwella cynnwys cymysg:

<!-- Drwg -->
<img src="http://example.com/image.jpg" />

<!-- Da -->
<img src="https://example.com/image.jpg" />

<!-- Gorau (cyfeiriad di-lwyth, yn addasu i brotocol y dudalen) -->
<img src="//example.com/image.jpg" />

Trwsio cronfa ddata (WordPress):

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

Cynnydd cyflym: Agorwch eich tudalen gartref ym myd Chrome, pwyswch F12, gwirio tab y Console am rybuddion cynnwys cymysg. Trwsio unrhyw un sy'n ymddangos — mae'r rhain yn weladwy i Google yn uniongyrchol.

Risgiau Sgriptiau Trydydd Parti

Mae pob sgript allanol rydych yn ei llwytho yn gyfle diogelwch (a pherfformiad) posib. Gall sgriptiau trydydd parti:

  • Cael eu cynnwys (ymosodiadau gadwyn cyflenwi)
  • Olrhain eich defnyddwyr heb ganiatâd (torri GDPR)
  • Arafu eich gwefan (rhwystrio a llwytho, oedi rhwydwaith)
  • Torri gweithrediaeth (diweddariadau fersiwn, methiannau)
  • Mewnosod cynnwys annymunol (sgriptiau hysbysebu wedi mynd o'i le)

Archwiliwch eich sgriptiau trydydd parti:

| Sgript | Angenrheidiol? | Lefel Risg | Amgen | |--------|----------------|------------|--------| | Google Analytics | Fel arfer ie | Isel | Olrhain o'r ochr weinydd | | Wjitiau sgwrsio | Efallai | Canolig | Atebion hunan-anjan | | Botymau rhannu cymdeithasol | Prin | Canolig | Dolenni rhannu statig | | Profion A/B | Weithiau | Uchel | Profion o'r ochr weinydd | | Pixelau ail-dargetio | Penderfyniad busnes | Uchel | Data cyntaf | | CDNau ffont | Cyfleus | Isel | Ffontiau hunan-anjan |

Lliniaru risgiau ar gyfer sgriptiau trydydd parti hanfodol:

  1. Dibyniaeth Subresource (SRI): Mae dilysiad has wedi'i gysylltu'n atal sgriptiau wedi'u camddefnyddio rhag llwytho
<script src="https://cdn.example.com/lib.js"
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxAE+sO0..."
        crossorigin="anonymous"></script>
  1. Cyfyngiadau CSP: Caniatáu sgriptiau yn unig o domenau hysbys
  2. Iframiau wedi'u lleihau: Isoli wjitiau trydydd parti
  3. Archwiliadau rheolaidd: Gwirio pob adnodd allanol bob chwarter
  4. Monitro: Rhybudd ar ddomaneau allanol newydd sy'n ymddangos yn eich tudalennau

Cynnydd cyflym: rhestrwch bob tag